IdP関連
- IdPで認証前にエラー
→relying-party.xmlにこのSPだけに対する特殊な<RelyingParty>設定があり、かつその中に
SAML2SSOProfile
の設定が抜けているとこのエラーになります。
- attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
→attribute-filter.xml中のAttributeFilterPolicy要素のidが重複していると、最後のものしか有効にならないようです。idが重複しないように修正してください。
SP関連
- SPで認証後にエラー
→SPメタデータに記載されている証明書がSPにインストールされていない。
加えて、SPメタデータに複数証明書が記載されており、その一部がインストールされていない場合、タイミングによってエラーになったりならなかったりするので特に注意が必要。
- SPからDSに遷移したときにDSでエラー
SPからDSに遷移したときにDSにて以下のようにブラウザにエラーが表示される。
→学認技術ガイドに従ってSPを設定した場合、DSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/DS' となります。学認申請システムでSPの登録を行なうときに「DSからのリターンURL 」項目がこの値になっていない場合には上記のエラーが表示されます。
→なお、学認技術ガイドの「2.DSサーバの参照設定を行います。」において、SessionInitiatorのLocationを変更した場合にはDSからのリターンURLも変わります。例えば <SessionInitiator type="Chaining" Location="/ABC"...>
としたときのDSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/ABC' となります。また、shibboleth2.xmlにSessionInitiatorが1つも存在しない場合にはデフォルト値の 'https://HOSTNAME/Shibboleth.sso/Login' を使用してください。
- SAML2でバックチャネル接続エラー
SAML2でIdPに接続したときに下記のようなバックチャネルの接続エラーが発生することがあります。
→上記のエラーはIdP(idp.example.ac.jp)のattribute-filter.xmlに接続元SPへの属性送出設定がない(属性が受け渡されない)とき、SAML2でBack-Channelポートにfallbackするため発生します。IdP側のファイアウォールなどでBack-Channel(ポート8443)への接続が許可されていない場合にタイムアウトとなることがあります。
→SAML2対応のIdPのみ利用するときに「SPでBack-Channelを使用しないようにする設定」を以下に記載します。SAML1で属性受け渡しをする可能性があるときは属性取得できなくなりますので、SAML2でBack-Channelを利用しないときだけに用いてください。
- /etc/shibboleth/shibboleth2.xml で次の部分をコメントアウト